freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Facebook再一次拒付赏金:删除Facebook任意账号漏洞
2013-09-11 09:55:31

前些日子里,Facebook拒绝了向Khalil Shreatech付赏金。Khalil Shreatech何许人也?他是一名安全研究员,曾经用他发现的这个bug向Facebook的CEO mark Zuckerberg反馈过。之前Facebook的安全部门已经拒绝了他的多次反馈。我想大家都有所耳闻了。

看看下面这位仁兄:


Ehraz Ahmed, 一名独立的安全研究专家,他声称他向fb的安全部门反馈过一个严重的安全漏洞。该漏洞可以删除Facebook上的任何账号。


Facebook拒绝给出漏因洞赏金,因为他用他朋友的账号测试了一次。Ehras Ahmed在他的博客上说道:“我给Facebook反馈了这个漏洞,但我对他们的态度不是很满意。在等了很长时间以后,他们竟然拒绝了我的漏洞提交。还说我用这个漏洞删除了真实用户的账号而不是一个测试账号。现在漏洞已经被他们修复了。”

来看看漏洞的视频演示:
地址(需翻墙) 
漏洞详情

其中参数selectd_users[0]和__user参数是可以利用的漏洞点。

黑客曾经声明过可以用网站漏洞删除Facebookceo的账号。但这次,这个漏洞被Facebook安全部门修复了。然而就在发稿的4天前,Facebook还修复了另外一个恶意删除用户相片的漏洞。

难道说那些漏洞狩猎者应该停止向厂商反馈漏洞转向出售0day到地下黑市?

注意:我们正在尝试联系Facebook的安全团队以获得更多的相关信息,后期会持续报道。


更新:

据fb官方声明,Facebook的交流经理Michael kirklan给计算机世界的Blog里提到过Ahmed,Ahmed被他称为“骗子”。

博客里是这样说道的:
---------------------------------

这不是一个真正的漏洞。我们已经审核了代码,校验我们找到一切可以利用代码的地方,发现都没有结果。我们还校验了日志,试图找出所谓的"测试账号",这些账号曾出现在演示视频里。这些账号曾经被手动失效过。这些如果都是真的,肯定在日志里有记录。

这就是一个简单的骗术。演示视频里的html源代码清清楚楚的写着“没有用户被删除"。我们已经校验了目标账号和日志信息。这些账号被手动失效过。

任何一个人都可以访问: http://www.facebook.com/whitehat/account/ 并且校验传递给查询的selectd_users[0]和__user参数。我们已经审计了我们的代码没有找到可以利用的地方。事实上,最近的一次代码提交是在今年4月完成的。当时就已经确保没有任何安全隐患了。。

小编:看来安全赏金不容易拿啊,对方都是先确认了没有安全隐患再丢出来给大家玩的。


[感谢softbug翻译投递,via thehacknews]

本文作者:, 转载请注明来自FreeBuf.COM

# facebook拒付赏金
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑